阿里雲表示,他們在早期未意識到Log4j漏洞的嚴重性,以致未及時與中國政府共享漏洞訊息,未來該公司會強化漏洞管理,積極協同各方做好網路安全風險防範工作
文/林妍溱 | 2021-12-27發表
阿里雲發現Apache Log4j重大漏洞後未能第一時間通報中國政府,上周遭到中國工信部暫停合作6個月處分。阿里雲上周指事出於未意識漏洞嚴重性而錯誤判斷,未來將改善。而這樣不得已的聲明,也讓外界對其感到同情,並且質疑中國政府強行介入業者漏洞通報環節的動機不單純。
中國媒體報導,阿里雲於上周四(12/23)透過官方微信公眾號發布關於Log4j漏洞通報概況。阿里雲指出,其安全實驗室一名研發工程師發現Log4j (2)組件的一個安全瑕疵,於是按業界慣例以郵件方式向原開發組織Apache開源社群通報以請求協助,經後者確認是一個安全漏洞,並向全球發布修補程式。而後該漏洞被外界證實是全球性的重大漏洞。
阿里雲並未提及任何和工信部停止它參與網路安全威脅、和漏洞信息共享平臺的資格被中止6個月一事,僅解釋是按資安業界通例,先通報Apache軟體基金會。
阿里雲表示,他們在早期未意識到Log4j漏洞(CVE-2021-44228)的嚴重性,以致未及時共享漏洞訊息,未來該公司會強化漏洞管理,提升合規(compliance)意識,積極協同各方做好網路安全風險防範工作。
中國工信部的處分導致的損失尚難確定,但失去官方信任可能影響阿里雲的業務前景。阿里雲同時也是中國工信部推動「互聯網+先進製造業」的跨行業跨領域工業互聯網平臺的合作清單廠商。
阿里巴巴今年4月遭中國市場監管局重罰183億人民幣(約臺幣800億元),以處罰它強迫平臺店家不得在其他電商平臺開店及促銷的壟斷行為。阿里巴巴之後公開表達感激政府。
文章來源:iThome
